liaison controleur AD 2003 serveur

liaison controleur AD 2003 serveur - Windows & Software

Marsh Posté le 29-05-2006 à 14:46:51    

bonjour,
 
je possède 3 serveur 2003 standard édition. 2 de ces serveur sont controleurs de domaine totalement indépendant ! le 3ème n'est encore pas promu controleur AD (tout juste sorti du carton). les 2 controleur AD vont rester sur mon site siège et le 3ème va partir sur site distant ou il existe une liaison vpn !
 
je souhaiterai dans un premier temps liée les 2 serveur AD ! comment procédé ? j'ai regarder un peu dans le "site et services active directory" mais j'ai un peu de mal, je ne voit pas l'un et l'autre depuis chaque serveur !
 
ensuite je souhaiterai savoir comment promouvoir mon 3ème serveur en AD sur mon site distant pour qu'il soit également liée au 2 autre afin de le gérer au mieux à distance. en faisant un dcpromo quel options choisir ensuite ??
 
 
merci d'avance !

Reply

Marsh Posté le 29-05-2006 à 14:46:51   

Reply

Marsh Posté le 29-05-2006 à 14:51:29    

lofo a écrit :

bonjour,
 
je possède 3 serveur 2003 standard édition. 2 de ces serveur sont controleurs de domaine totalement indépendant !  
 
je souhaiterai dans un premier temps liée les 2 serveur AD !  
 


 
j'ai rien compris ?! quand tu dis que tes 2 dc sont pas reliés ça veut dire quoi ? tu as 2 domaines dans 2 forêt différentes ? tes dc sont sur le même domaine mais ne se réplique pas ( dc hs )? tes 2 dc focntionnent et sont dans le même site (site AD, hein, pas site physique ...) ?

Reply

Marsh Posté le 29-05-2006 à 15:22:38    

mes 2 dc sont dans 2 foret différentes oui
il sont sur le même site physique

Reply

Marsh Posté le 29-05-2006 à 15:51:27    

et ton 3 ème DC ce sera un nouvelle foret ? ce sera un backup d'un des 2 autres ? un sous domaine ? as tu essayé de faire des relations d'aprobations ?

Reply

Marsh Posté le 29-05-2006 à 16:20:13    

mon 3 ème serai controleur AD sur un autre domaine et je voulais etre conseiller pour savoir la meilleur manière de le promouvoir et de l'installé !
 
non je n'ai pas de relation d'approbation.

Reply

Marsh Posté le 29-05-2006 à 16:24:27    

lofo a écrit :

mon 3 ème serai controleur AD sur un autre domaine


 
Sur un nouveau domaine ou sur un domaine ayant déjà un dc.
 
si c'est un nouveau domaine, tu fait ton dc promo, et tu crées ton nouveau domaine
 
si c'est un deuxième tu fais ton dc promo, tu lui dit que tu que ce soit un dc supplémentait de ton domaine xxx et se sera bon. il suffit bien sur que sur le site où tu fait ta promotion, tu ai une liaison réseau avec le dc du domaine xxx.

Reply

Marsh Posté le 29-05-2006 à 16:33:32    

c'est un nouveau domaine ! jusque là le site distant fonctionnait en workgroup !  
et pour la liaison entre ce nouveau domaine et mon siege ou sont mes 2 autre serveur comment sa se passe ?

Reply

Marsh Posté le 29-05-2006 à 16:39:29    

j'ai du mal a te comprendre, si tu fais 3 domaines, sans relation d'aprobation tu n'auras aucune liaison AD entre tes domaines, comme c'est déjà le cas en tre des 2 domaines.
 
Si tu veut une aide plus "fine" peut tu nous donner plus d'info :
 
- pourquoi faire 3 domaies indépendant ?
- Si 3 domaines indépendant que veut tu faire comme liaison ? quels sont les besoins ?
 
bref peut tu nous donner plus de détails sur ton archi actuelle/futur et le pourquoi tu veut évoluer comme çà ( si possible ?)

Reply

Marsh Posté le 29-05-2006 à 17:28:31    

je voudrai centralisé l'administration sur un seul serveur en faite ! c'est bien possible si une relation d'approbation est crée ?
 
serveur 1 : controleur AD serveur de fichier
serveur 2 : controleur ad inutilisé (simplement crée pour les dissocié salarié que j'ai remplacer qui l'avais installé) base sql serveur avec interface web utilisé par des sites distant non tse.
 
serveur 3 : installation programmer sur site dans les jours a venir. A promouvoir et donc a crée des relation d'approbation pour le relié au serveur 1 et 2. il sera utilisé comme controleur AD serveur de fichier sur un site distant, avec également une base sql serveur.
 
tout cela est bien entendu dans un vpn oleane.
j'espère que tu voit un peu mieux mon fonctionnement actuel et futur ??

Reply

Marsh Posté le 29-05-2006 à 17:34:30    

oui je vois, mais désolé d'être obtus, je comprends vraiment pas pourquoi tu ne fais pas qu'un seul domaine ou au moins qu'une seul forêt ( un domaine principale et 2 sous domaine ). avec ça tu pourrais tout géré depuis un seul DC. J'ai vraiment l'impression que tu te lances dans une usine à gaz

Reply

Marsh Posté le 29-05-2006 à 17:34:30   

Reply

Marsh Posté le 29-05-2006 à 18:35:20    

c'ets fort possible ! disons que je prend cela comme un très bon conseil. il me faudrait alors rétrogader les serveurs (enfin le serveur 2) ensuite je refais un dcpromo et je le déclare comme second serveur du domaine 1 ??
 
sa parait logique ?
 
j'ai du mal à voir comment crée un domaine principale puis des sous domaine...

Message cité 1 fois
Message édité par lofo le 29-05-2006 à 18:36:53
Reply

Marsh Posté le 29-05-2006 à 20:22:44    

lofo a écrit :

c'ets fort possible ! disons que je prend cela comme un très bon conseil. il me faudrait alors rétrogader les serveurs (enfin le serveur 2) ensuite je refais un dcpromo et je le déclare comme second serveur du domaine 1 ??

 

sa parait logique ?

 

j'ai du mal à voir comment crée un domaine principale puis des sous domaine...

 


 


A priori,  beaucoup plus logique que de faire plusieurs domaines séparés...

 

Faire plusieurs domaines, à moins que tu ais besoin d'un cloisonnement vraiment spécifique (filliales, entités différentes, systèmes informatiques ayant besoin d'êtres distincts, ou grandes entreprises, etc.), çà n'a pas trop d'utilité. Quant à plusieurs forêts, c'est encore un niveau plus haut dans le cloisonnement  :D

 


Pour toi je pense qu'un domaine suffit, en plus tu auras ainsi une copie de ton AD sur un site distant c'est aussi bien en cas de sinistre. Configure bien ta réplication entre le siège et le site pour ne pas saturer la liaison, et mets bien ton serveur distant en tant que catalogue global  ;)


Message édité par LaTeX_ le 29-05-2006 à 20:23:12
Reply

Marsh Posté le 29-05-2006 à 23:15:22    

dans un 1ier temps je pense faire la promotion sur mon site, établir l'approbation et ensuite délocalisé le serveur et déplacer le serveur dans "site et services active directory" !
 
mon serveur 2 par contre, je dois le rétrograder pour l'entrer dans mon domaine 1 ? comment établir les hateur entre le domaine principale la création d'un sous domaine ?

Reply

Marsh Posté le 30-05-2006 à 08:54:48    

lofo a écrit :

dans un 1ier temps je pense faire la promotion sur mon site, établir l'approbation et ensuite délocalisé le serveur et déplacer le serveur dans "site et services active directory" !
 
mon serveur 2 par contre, je dois le rétrograder pour l'entrer dans mon domaine 1 ? comment établir les hateur entre le domaine principale la création d'un sous domaine ?


 
1)  oui c'est cà : tu mets ton dc dans un site, ensuite n'oublie de baisser le nombre de réplication entre les sites ( à moins que tu en ai vraiment besoin) ça te déchargeras ton wan. Perso j'ai un dc pour un site particulier, et je ne faits qu'une réplication inter dc toutes les 4 heures. Penses aussi àbien configuré le site pour que les pc de ce site ce connectes bien en priorité sur le dc de ton site  et non sur le dc de ton "siège"
 
2) c'est aussi ça, par contre fait attention quand tu vas rétrogader ton dc, tu va perdre ton domaine et donc tout tes comptes machines, user, partages, imprimantes, gpo .... fais bien attention à les transférer avant ( c'est quand même une grosse opération, donc étudie bien ton "affaire" avant de te lancer dans la suppression de ton domaine)

Reply

Marsh Posté le 30-05-2006 à 09:05:48    

1)  oui c'est cà : tu mets ton dc dans un site, ensuite n'oublie de baisser le nombre de réplication entre les sites ( à moins que tu en ai vraiment besoin) ça te déchargeras ton wan. Perso j'ai un dc pour un site particulier, et je ne faits qu'une réplication inter dc toutes les 4 heures. Penses aussi àbien configuré le site pour que les pc de ce site ce connectes bien en priorité sur le dc de ton site  et non sur le dc de ton "siège"  
 
 
pour que les pc se connecte correctement, j'ai juste à mettre la bonne adresse ip dans le dns favoris u serveur qui correspond ?
 
2) c'est aussi ça, par contre fait attention quand tu vas rétrogader ton dc, tu va perdre ton domaine et donc tout tes comptes machines, user, partages, imprimantes, gpo .... fais bien attention à les transférer avant ( c'est quand même une grosse opération, donc étudie bien ton "affaire" avant de te lancer dans la suppression de ton domaine)[/quotemsg]
 
 
es-ce que c'ets possible de restaurer mon annuaire comprenant donc user imprimante etc (de l'ancien domaine) suite à la nouvelle promotion de mon serveur sur le domaine de mon serveur 1 ?  
sa m'éviterai de perdre toutes ces infos...

Reply

Marsh Posté le 30-05-2006 à 09:26:45    

non si tu restaures ton annuaire tu restaures ton AD complet et si tu le faits sur un autre domaine se sera une cata ! Par contre il existe des outils pour les migrations de domaines permettant de transférer les données de ton AD. je ne l'ai jammais fais, j'ai pas trop d'info à te donner mais je sais que ça existe. fait une recherche sur le forum, et regarde sur le site de microsoft tu auras plein d'infos. N'hésites pas si tu as des doutes à continuer sur ce topic ou a en recréé un spéciale sur le transfert des domaines, ce n'est pas une opérations à prendre à la légère. par contre je te conseilels vivement de le faire et de  ne pas garder tes 2 domaines.

Reply

Marsh Posté le 30-05-2006 à 10:22:47    

non si tu restaures ton annuaire tu restaures ton AD complet et si tu le faits sur un autre domaine se sera une cata ! Par contre il existe des outils pour les migrations de domaines permettant de transférer les données de ton AD. je ne l'ai jammais fais, j'ai pas trop d'info à te donner mais je sais que ça existe. fait une recherche sur le forum, et regarde sur le site de microsoft tu auras plein d'infos. N'hésites pas si tu as des doutes à continuer sur ce topic ou a en recréé un spéciale sur le transfert des domaines, ce n'est pas une opérations à prendre à la légère. par contre je te conseilels vivement de le faire et de  ne pas garder tes 2 domaines.
 
 
Au vu de tous les interets que sa apporte (tolérance au panne, gestion sur serveur unique) je pense bien suivre ton conseil en essayant d'aller doucement car j'ai bien entendu du monde qui utilise ces serveurs en continue !
 
petites question matériel : ton serveur dc principale doit t-ilavoir des ressources plus importante que les autres ?? (Ram disques dur etc)

Reply

Marsh Posté le 30-05-2006 à 11:53:08    

non, jusque y a peu, c'était mon serveur le moins puissant !
 
Pour info depuis windows 2000 il n' y as plus de PDC/BDC donc plus de dc principal !  la seul chose c'est qu'un de tes dc doit avoire les rôles maitre explorateur, RFID, ... (il ya 5 rolées qui peuvent en réalité être dispatcher entre plusieurs serveurs) c'est pour ça que je dit que j'ai un dc principal, mais en réalité c'est un abus de langage.  
juste par curiosité comment ça se fait que tu ai 2 domaines parrallèles comme çà ?

Reply

Marsh Posté le 30-05-2006 à 11:57:34    

j'ai 2 domaines parrallèle plus par inexpérience que par politique d'entreprise ! c'est pour cela que j'ai fais ce sujet, afin d'harmoniser au mieux mon parc pour l'administrer plus facilement !
 
le second serveur est en place depuis 2 mois et j'ai fais un dcpromo basique donc création d'un second domaine. et vu que cette fois j'ai un 3ème serveur qui viens ce greffer, si je crée encore un nouveau domaine sa va etre plutot lourd a gérer ! ce sujet est très interessant pour moi car je ne voyais le but et la notion des approbations !


Message édité par lofo le 30-05-2006 à 11:58:27
Reply

Marsh Posté le 30-05-2006 à 12:10:48    

OK. la migration devrais donc pouvoir se faire facilement. en effet je suppose que tu ne dois pas vaoir grand chose dans ton deuxième domaine.
PAr contre, si tu es un nouveau admin réseau, je te conseille de te faire payer une formation admin Windows /AD, ou au minimum paye toi un bouquin sur l'AD, sinon tu va jammais t'en tirer ( ou que par des bricolages qui risque de te poser des problèmes après, comme mettre 2 domaines en parralèles ;) )

Reply

Marsh Posté le 30-05-2006 à 13:44:33    

la formation est prévu pour septembre ! les bouquin c'est depuis quelque temps mes livres de chevet ! j'avance doucement et je fais des test sur une version d'évaluation 2003 qui m'as été passer par microsoft (licence valide 6 mois)

Reply

Marsh Posté le 30-05-2006 à 14:06:40    

Ok, je pense donc qu'on devrait être appeler à ce croiser d'autre fois sur wsr ;)
 
@+

Reply

Marsh Posté le 30-05-2006 à 16:05:54    

il y as de grande chance ! en attendant je vais tester tous sa et je t'informer sur ce post des réussite ou des echecs...
 

Reply

Marsh Posté le 07-06-2006 à 16:27:02    

je viens de promouvoir mon serveur de test (version evaluation offert par microsoft) comme controleur AD enfant de mon AD 1 (serveur fichier etc...). mes 2 serveur apparaissent donc sur le même site !
 
comme le second est sur le même domaine, les relations d'approbation bidirectionnel devrai etre préfénit lors de ma promotion non ?
 
si je change de sites mon second serveur, cela entraine un changement d'adressses IP (plage défini par le vpn oléane). de quel manière mon aprobation evoluera t-elle ?

Reply

Marsh Posté le 07-06-2006 à 16:33:25    

lofo a écrit :


comme le second est sur le même domaine, les relations d'approbation bidirectionnel devrai etre préfénit lors de ma promotion non ?
 


 
Oui (heuresement d'ailleurs)

lofo a écrit :


si je change de sites mon second serveur, cela entraine un changement d'adressses IP (plage défini par le vpn oléane). de quel manière mon aprobation evoluera t-elle ?


 
Ton aprobation n'évoluras pas ce sera la même chose. par contre penses à créer un second site et mettre ton controlleur de dedans.
 
Question subsidiaire ? est ce vraiment utilie pour doit d'avoir une fôret ? n'aurait tu pas pus tout mettre dans un domaine unique?

Reply

Marsh Posté le 07-06-2006 à 16:44:47    

Question subsidiaire ? est ce vraiment utilie pour doit d'avoir une fôret ? n'aurait tu pas pus tout mettre dans un domaine unique?[/quotemsg]
 
 
a l'heure actuel c'est sur le même domaine (mon serveur 1 et mon serveur test) !
et sa n'as pas crée d'approbation sur chacun d'eux !

Reply

Marsh Posté le 07-06-2006 à 16:58:45    

je ne vois pas ce que tu as fait.
 
Quand tu as fait ton dcpromo tu as fais quoi : Créer un domaine enfant à un domaine ou rajouter un controlleur de dommaine a ton domaine  ?

Reply

Marsh Posté le 07-06-2006 à 23:19:37    

excuse moi j'avais rajouter un controleur au domaine existant ! d'ou le non création des approbation !  
 
je l'ai rétrograder puis prmu de nouveau en domaine enfant, et là mes approbations prédéfinis existe bien !
 
pour l'installation sur un site distant avec une modification d'adressage, quel est la promotion la plus judicieuse ?

Reply

Marsh Posté le 08-06-2006 à 09:28:54    

tout dépend de ton besoin ! le principal chose à définir pour toi est : as tu un besoin spécifique de créer un domaine enfant ?? si tu n'en as pas de besoin, le plus simple et propre est de créer un domaine unique.

Reply

Marsh Posté le 08-06-2006 à 10:05:39    

mes besoin sont assez simple ! je souhaite simplement administrer mon serveur distant via mon controleur sur mon site principale ! après je souhaite appliquer une politique de sécurité (GPO) différente sur mon sites distant sur des utilisateurs précis ! es-ce possible dans un domaine unique vu que l'annuaire est identique ?

Reply

Marsh Posté le 08-06-2006 à 11:10:10    

oui c'est tout a fait possible ( c'est ce que je fait chez moi). ce qu'il faut faire c'est que tu créer un domaine unique, comme ça tu administres tout depuis ton dc sur ton site, ensuite tu créés une  ( ou plusieurs) OU pour ton deuxième site et tu mets tes gpo au niveau des OU.

Reply

Marsh Posté le 08-06-2006 à 11:20:33    

Je pense que tu devrais avoir qu'un seul domaine avec 3 serveurs.
Ca permettrait entre autre un bien meilleur tolérence de panne.
 
Si tu as 3 domaines avec 1 DC par domaine, si un DC et HS alors tout ton domaine est HS.
 
Il faut que tu configures un unique domaine, avec tes 3 DC.
Le tout sur ton site principale.
 
Une fois que tout ca fonctionne, tu crée ton LAN distant et tu y place ton DC distant.
 
Tu changes l'adresse IP du DC distant.
Sur les clients distants tu peux laisser comme DNS un de tes deux DC de ton site principal ou alors configurer le DC distant comme DNS pour répondre au clients distants plus facilement.
 
Niveau tolérence de panne, il faut par exemple utiliser tes deux DC comme DNS, les deux gerant la même zone. En cas de pb sur un serveur le DNS sera assuré par l'autre.


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 08-06-2006 à 15:48:12    

chailloug a écrit :

oui c'est tout a fait possible ( c'est ce que je fait chez moi). ce qu'il faut faire c'est que tu créer un domaine unique, comme ça tu administres tout depuis ton dc sur ton site, ensuite tu créés une  ( ou plusieurs) OU pour ton deuxième site et tu mets tes gpo au niveau des OU.


 
 
 
ok ! il me faus donc supprimer la GPO sur mon domaine total et les recrée sur chaque UO ou alors les GPO crée sur chaque OU prendrons le dessus sur la GPO du domaine ?

Reply

Marsh Posté le 08-06-2006 à 16:06:48    

quand tu mets une gpo sur une OU elle s'aditionne a celle qui sont mis au dessus, sauf si tu coches bloquer l'héritage des stratégies. le plus simple n'est pas de créer une grosse gpo, mais plein de petites faisant qu'une chose à la fois. ensuite tu mets les gpo ou bon te sembles.

Reply

Marsh Posté le 15-06-2006 à 11:58:47    

j'ai bien mis mon second serveur sur le meme domaine ! mes réplication paraissent bien se faire, néamoins ou es-ce que l'on peut vérifier le bon fonctionnement des réplication (fichier texte crée, console de gestion) ?
 
et lorsque je vais déplcer mon serveur vers un site de mon vpn, de quel manière manière mes réplications évoluerons vu que l'adresses IP sera modifié sur mon serveur déplacé ?

Reply

Marsh Posté le 15-06-2006 à 14:20:58    

lofo a écrit :

j'ai bien mis mon second serveur sur le meme domaine ! mes réplication paraissent bien se faire, néamoins ou es-ce que l'on peut vérifier le bon fonctionnement des réplication (fichier texte crée, console de gestion) ?


je sais que tu peut le faire, mais j'ai oublié comment... le plus simple est de créer par exemple un user sur un de tes serveurs et voir si celui ci ce réplique bien
 

Citation :


et lorsque je vais déplcer mon serveur vers un site de mon vpn, de quel manière manière mes réplications évoluerons vu que l'adresses IP sera modifié sur mon serveur déplacé ?


 
Si ton dns se met bien à jour y aura pas de problème

Reply

Marsh Posté le 15-06-2006 à 14:33:51    

chailloug a écrit :

je sais que tu peut le faire, mais j'ai oublié comment... le plus simple est de créer par exemple un user sur un de tes serveurs et voir si celui ci ce réplique bien
 
c'ets ce que j'ai fais et sa se péplique bien en local ! mais j'aurai bien voulu avoir un fichier ou je pourrai vérifier qu'il n'y ai absolument aucun problème.
 
 

Citation :


et lorsque je vais déplcer mon serveur vers un site de mon vpn, de quel manière manière mes réplications évoluerons vu que l'adresses IP sera modifié sur mon serveur déplacé ?


 
Si ton dns se met bien à jour y aura pas de problème


 
 
sur mon site distant, je configure mon dns qui pointe vers le serveur de l'autre site alors ? et inverse de l'autre côté ?

Reply

Marsh Posté le 19-06-2006 à 15:50:12    

UP

Reply

Marsh Posté le 26-06-2006 à 11:54:55    

Non, tes zones DNS vont se répliquer entre tes deux DC (qui font aussi serveurs DNS, tu peux verifier ca dans les proprietes de tes zones DNS), a partir de ce moment pas de soucis (bien sur il faut que le lien VPN soit OK au niveau config IP...
Ensuite en "dur" ou DHCP sur chaque site les PC reçoivent comme DNS principal le serveur DNS (le DC) present sur le site. Ensuite comme DNS secondaire (ou meme via un redirecteur sur le DC) tu met l'IP de la  gateway/routeur du site pour l'accès à internet.
Enfin sur chaque DC (faisant aussi DNS) tu mets leur propre IP comme DNS principal (cà accélère le boot, et t'évites les erreurs du genre "au cun DC trouvé" et ca soulage ton VPN...)


---------------
- Les cons ça ose tout... C'est même à ça qu'on les reconnait... - M. Audiard
Reply

Marsh Posté le 28-06-2006 à 13:47:33    

DaleX a écrit :

Non, tes zones DNS vont se répliquer entre tes deux DC (qui font aussi serveurs DNS, tu peux verifier ca dans les proprietes de tes zones DNS), a partir de ce moment pas de soucis (bien sur il faut que le lien VPN soit OK au niveau config IP...
Ensuite en "dur" ou DHCP sur chaque site les PC reçoivent comme DNS principal le serveur DNS (le DC) present sur le site. Ensuite comme DNS secondaire (ou meme via un redirecteur sur le DC) tu met l'IP de la  gateway/routeur du site pour l'accès à internet.
Enfin sur chaque DC (faisant aussi DNS) tu mets leur propre IP comme DNS principal (cà accélère le boot, et t'évites les erreurs du genre "au cun DC trouvé" et ca soulage ton VPN...)


 
 
 
ok ! je configure donc mes DC (qui sont sur un domaine unique) comme s'il étais indépendant l'adresse DNS primaire et la réplication se fera toutes seul... ausun besoin de spécifier l'adresse du serveur distant (autre site) dans un endroite spécifique si je capte bien ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed